ทั่วไป

ถาม: AWS Identity and Access Management (IAM) คืออะไร
IAM ให้การควบคุมการเข้าถึงโดยละเอียดทั่วทั้ง AWS IAM ช่วยให้คุณสามารถควบคุมการเข้าถึงบริการและทรัพยากรต่างๆ ภายใต้เงื่อนไขเฉพาะ ใช้นโยบาย IAM ในการจัดการสิทธิ์อนุญาตให้แก่พนักงานและระบบของคุณเพื่อรับรองว่ามี สิทธิ์อนุญาตเท่าที่จำเป็น IAM เป็นบริการแบบไม่เสียค่าใช้จ่ายเพิ่มเติม ดูข้อมูลเพิ่มเติมได้ที่ IAM คืออะไร
 
ถาม: IAM ทำงานอย่างไรและทำอะไรได้บ้าง
IAM มีบริการรับรองความถูกต้องและให้สิทธิ์อนุญาตสำหรับบริการของ AWS บริการจะประเมินว่าจะอนุญาตหรือปฏิเสธคำขอของ AWS สิทธิ์การเข้าถึงจะถูกปฏิเสธก่อนตามค่าเริ่มต้น และจะได้รับอนุญาตก็ต่อเมื่อนโยบายให้สิทธิ์การเข้าถึงอย่างชัดแจ้งเท่านั้น คุณสามารถแนบนโยบายเข้ากับบทบาทและทรัพยากรต่างๆ เพื่อควบคุมการเข้าถึงทั่วทั้ง AWS ได้ ดูข้อมูลเพิ่มเติมได้ที่ ทำความเข้าใจวิธีการทำงานของ IAM
 
ถาม: สิทธิ์อนุญาตเท่าที่จำเป็นคืออะไร
เมื่อคุณตั้งค่าสิทธิ์อนุญาตด้วยนโยบาย IAM ระบบจะมอบสิทธิ์อนุญาตเฉพาะสิทธิ์ที่จำเป็นในการดำเนินการงานเท่านั้น แนวทางนี้เรียกว่า การให้สิทธิ์เท่าที่จำเป็น คุณสามารถใช้การมอบสิทธิ์อนุญาตเท่าที่จำเป็นใน IAM โดยกำหนดการดำเนินการที่สามารถทำได้กับทรัพยากรเฉพาะภายใต้เงื่อนไขเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่ การจัดการสิทธิ์การเข้าถึงสำหรับทรัพยากรของ AWS
 
ถาม: ฉันจะเริ่มต้นใช้งาน IAM ได้อย่างไร
ในการเริ่มต้นใช้งาน IAM เพื่อจัดการสิทธิ์อนุญาตสำหรับบริการและทรัพยากรของ AWS ให้สร้าง IAM Role และมอบสิทธิ์อนุญาต สำหรับ ผู้ใช้ที่เป็นพนักงาน ให้สร้างบทบาทที่ผู้ให้บริการข้อมูลประจำตัวของคุณสวมบทบาทได้ สำหรับระบบ ให้สร้างบทบาทที่บริการที่คุณใช้ เช่น Amazon EC2 หรือ AWS Lambda สวมบทบาทได้ หลังจากที่สร้างบทบาทแล้ว คุณสามารถแนบนโยบายเข้ากับบทบาทเพื่อมอบสิทธิ์อนุญาตที่ตรงกับความต้องการของคุณ หากคุณเพิ่งเริ่มต้นใช้งาน คุณอาจไม่ทราบสิทธิ์อนุญาตเฉพาะที่คุณต้องการ ดังนั้นคุณจึงสามารถเริ่มต้นด้วยสิทธิ์อนุญาตในวงกว้าง นโยบายที่มีการจัดการของ AWS มอบสิทธิ์อนุญาตเพื่อช่วยให้คุณเริ่มต้นและพร้อมใช้งานในบัญชี AWS ทั้งหมด จากนั้น ให้ลดสิทธิ์อนุญาตเพิ่มเติมโดยการกำหนด นโยบายที่มีการจัดการโดยลูกค้าเฉพาะสำหรับกรณีใช้งานของคุณ คุณสามารถสร้างและจัดการนโยบายและบทบาทได้ใน IAM Console หรือผ่าน AWS API หรือ AWS CLI ดูข้อมูลเพิ่มเติมได้ที่ เริ่มต้นใช้งาน IAM

ทรัพยากรของ IAM

ถาม: IAM Role คืออะไรและทำงานอย่างไร
AWS Identity and Access Management (IAM) Role มอบวิธีการเข้าถึง AWS โดยอาศัยข้อมูลรับรองตัวตนด้านความปลอดภัยชั่วคราว แต่ละบทบาทมีชุดสิทธิ์อนุญาตในการส่งคำขอบริการของ AWS และบทบาทจะไม่เชื่อมโยงกับผู้ใช้หรือกลุ่มเฉพาะ แต่เอนทิตีที่เชื่อถือได้ เช่น ผู้ให้บริการข้อมูลประจำตัวหรือบริการของ AWS จะสวมบทบาทแทน ดูข้อมูลเพิ่มเติมได้ที่ IAM Role

ถาม: ทำไมฉันจึงต้องใช้ IAM Role
คุณควรใช้ IAM Role เพื่อมอบสิทธิ์เข้าถึงบัญชี AWS ของคุณโดยอาศัยข้อมูลรับรองตัวตนระยะสั้น ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด ข้อมูลประจำตัวที่ได้รับอนุญาต ซึ่งอาจเป็นได้ทั้งบริการของ AWS หรือผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณ สามารถสวมบทบาทในการส่งคำขอของ AWS หากต้องการมอบสิทธิ์อนุญาตกับบทบาท ให้แนบนโยบาย IAM กับบทบาทนั้น ดูข้อมูลเพิ่มเติมได้ที่สถานการณ์ทั่วไปสำหรับบทบาทต่างๆ

ถาม: ผู้ใช้ IAM คืออะไร และฉันควรจะใช้งานต่อไปหรือไม่
ผู้ใช้ IAM คือข้อมูลประจำตัวที่มีข้อมูลรับรองตัวตนระยะยาว คุณอาจกำลังใช้ผู้ใช้ IAM สำหรับผู้ใช้ที่เป็นพนักงาน ในกรณีนี้ AWS แนะนำให้ใช้ผู้ให้บริการข้อมูลประจำตัวและเชื่อมต่อกับ AWS โดยสวมบทบาท และคุณยังสามารถใช้บทบาทเพื่อให้สิทธิ์เข้าถึงบริการและคุณสมบัติต่างๆ ข้ามบัญชีได้ เช่น ฟังก์ชัน AWS Lambda ในบางสถานการณ์ คุณอาจจำเป็นต้องใช้ผู้ใช้ IAM ที่มี Access Key ซึ่งมีข้อมูลรับรองตัวตนระยะยาวพร้อมสิทธิ์เข้าถึงบัญชี AWS ของคุณ สำหรับสถานการณ์เหล่านี้ AWS แนะนำให้ใช้ข้อมูลการเข้าถึง IAM ที่ใช้ล่าสุด เพื่อหมุนเวียนข้อมูลรับรองตัวตนบ่อยๆ และนำข้อมูลรับรองตัวตนที่ไม่ได้ใช้ออก ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมของการจัดการ AWS Identity: ผู้ใช้

ถาม: นโยบาย IAM คืออะไร
นโยบาย IAM จะกำหนดสิทธิ์อนุญาตสำหรับเอนทิตีที่คุณแนบไปด้วย ตัวอย่างเช่น หากต้องการให้สิทธิ์เข้าถึง IAM Role ให้แนบนโยบายเข้ากับบทบาท สิทธิ์อนุญาตที่กำหนดไว้ในนโยบายจะกำหนดว่าคำขอได้รับอนุญาตหรือถูกปฏิเสธ นอกจากนี้คุณยังสามารถแนบนโยบายเข้ากับทรัพยากรบางอย่าง เช่น บัคเก็ต Amazon S3 เพื่อให้สิทธิ์การเข้าถึงข้ามบัญชีได้โดยตรง และคุณสามารถแนบนโยบายเข้ากับองค์กร AWS หรือหน่วยองค์กร เพื่อจำกัดการเข้าถึงในหลายบัญชีได้ AWS จะประเมินนโยบายเหล่านี้เมื่อ IAM Role ส่งคำขอ ดูข้อมูลเพิ่มเติมได้ที่นโยบายตามข้อมูลประจำตัว

การมอบสิทธิ์การเข้าถึง

ถาม: ฉันจะให้สิทธิ์การเข้าถึงบริการและทรัพยากรต่างๆ โดยใช้ IAM ได้อย่างไร
หากต้องการมอบสิทธิ์การเข้าถึงบริการและทรัพยากรโดยใช้ AWS Identity and Access Management (IAM) ให้แนบนโยบาย IAM เข้ากับบทบาทหรือทรัพยากร คุณสามารถเริ่มต้นโดยการแนบนโยบายที่มีการจัดการของ AWS ซึ่ง AWS เป็นเจ้าของและคอยอัปเดต และพร้อมใช้งานในบัญชี AWS ทั้งหมด หากคุณทราบสิทธิ์อนุญาตเฉพาะที่จำเป็นสำหรับกรณีใช้งานของคุณ คุณสามารถสร้างนโยบายที่มีการจัดการโดยลูกค้าและแนบเข้ากับบทบาทได้ ทรัพยากร AWS บางอย่างมีวิธีมอบสิทธิ์การเข้าถึงโดยกำหนดนโยบายที่แนบมากับทรัพยากร เช่น บัคเก็ต Amazon S3 นโยบายตามทรัพยากรเหล่านี้อนุญาตให้คุณมอบสิทธิ์การเข้าถึงโดยตรงแบบข้ามบัญชีไปยังทรัพยากรที่เชื่อมโยงอยู่ ดูข้อมูลเพิ่มเติมได้ที่การจัดการสิทธิ์การเข้าถึงสำหรับทรัพยากรของ AWS

ถาม: ฉันจะสร้างนโยบาย IAM ได้อย่างไร
ในการกำหนดสิทธิ์อนุญาตให้กับบทบาทหรือทรัพยากร ให้สร้างนโยบาย ซึ่งเป็นเอกสาร JavaScript Object Notation (JSON) ที่กำหนดสิทธิ์อนุญาต เอกสารนี้มีคำชี้แจงเกี่ยวกับสิทธิ์อนุญาตที่มอบหรือปฏิเสธสิทธิ์การเข้าถึงการดำเนินการบริการ ทรัพยากร และเงื่อนไขเฉพาะ หลังจากที่คุณสร้างนโยบายแล้ว คุณสามารถแนบนโยบายเข้ากับบทบาท AWS หนึ่งบทบาทขึ้นไป เพื่อมอบสิทธิ์อนุญาตให้กับบัญชี AWS ของคุณได้ หากต้องการมอบสิทธิ์การเข้าถึงทรัพยากรข้ามบัญชีโดยตรง เช่น บัคเก็ต Amazon S3 ให้ใช้นโยบายตามทรัพยากร สร้างนโยบายของคุณใน IAM Console หรือผ่าน AWS API หรือ AWS CLI ดูข้อมูลเพิ่มเติมได้ที่การสร้างนโยบาย IAM

ถาม: นโยบายที่มีการจัดการของ AWS คืออะไร และฉันควรใช้เมื่อใด
นโยบายที่มีการจัดการของ AWS นั้นสร้างและจัดการโดย AWS และครอบคลุมกรณีใช้งานทั่วไป เมื่อเริ่มต้นใช้งาน คุณสามารถมอบสิทธิ์อนุญาตในวงกว้างได้โดยใช้นโยบายที่มีการจัดการของ AWS ซึ่งมีอยู่ในบัญชี AWS ของคุณและพบได้ทั่วไปในบัญชี AWS ทั้งหมด จากนั้นเมื่อคุณปรับแต่งความต้องการของคุณแล้ว คุณสามารถลดสิทธิ์อนุญาตได้โดยการกำหนดนโยบายที่มีการจัดการโดยลูกค้าเฉพาะสำหรับกรณีใช้งานของคุณ โดยมีเป้าหมายเพื่อการมอบสิทธิ์อนุญาตเท่าที่จำเป็น ดูข้อมูลเพิ่มเติมได้ที่นโยบายที่มีการจัดการของ AWS

ถาม: นโยบายที่มีการจัดการโดยลูกค้าคืออะไร และฉันควรใช้เมื่อใด
หากต้องการมอบเฉพาะสิทธิ์อนุญาตที่จำเป็นในการดำเนินงาน คุณสามารถสร้างนโยบายที่มีการจัดการโดยลูกค้าที่เจาะจงเฉพาะสำหรับกรณีใช้งานและทรัพยากรของคุณ ใช้นโยบายที่มีการจัดการโดยลูกค้าเพื่อปรับแต่งสิทธิ์อนุญาตสำหรับความต้องการเฉพาะของคุณต่อไป ดูข้อมูลเพิ่มเติมได้ที่นโยบายที่มีการจัดการโดยลูกค้า

ถาม: นโยบายแบบอินไลน์คืออะไร และฉันควรใช้เมื่อใด
นโยบายแบบอินไลน์จะถูกฝังไว้และสืบเนื่องมาจากบทบาท IAM ที่เฉพาะเจาะจง ใช้นโยบายแบบอินไลน์หากคุณต้องการรักษาความสัมพันธ์แบบหนึ่งต่อหนึ่งที่เข้มงวดระหว่างนโยบายกับข้อมูลประจำตัวที่จะนำไปใช้ ตัวอย่างเช่น คุณสามารถมอบสิทธิ์ผู้ดูแลระบบ เพื่อให้แน่ใจว่าจะไม่มีการแนบเข้ากับบทบาทอื่น ดูข้อมูลเพิ่มเติมได้ที่นโยบายแบบอินไลน์

ถาม: นโยบายตามทรัพยากรคืออะไร และฉันควรใช้เมื่อใด
นโยบายตามทรัพยากรคือนโยบายสิทธิ์อนุญาตที่แนบมากับทรัพยากร ตัวอย่างเช่น คุณสามารถแนบนโยบายตามทรัพยากรเข้ากับบัคเก็ต Amazon S3, คิว Amazon SQS, ตำแหน่งข้อมูล VPC และคีย์การเข้ารหัส AWS Key Management Service ดูรายชื่อบริการที่รองรับนโยบายตามทรัพยากรได้ที่บริการของ AWS ที่ใช้งานได้กับ IAM ใช้นโยบายตามทรัพยากรเพื่อมอบสิทธิ์การเข้าถึงข้ามบัญชีโดยตรง นโยบายตามทรัพยากรช่วยให้คุณกำหนดได้ว่าใครสามารถเข้าถึงทรัพยากรและดำเนินการใดได้บ้าง ดูข้อมูลเพิ่มเติมได้ที่นโยบายตามข้อมูลประจำตัวและตามทรัพยากร

ถาม: การควบคุมการเข้าถึงตามบทบาท (RBAC) คืออะไร
RBAC มอบวิธีให้คุณกำหนดสิทธิ์อนุญาตตามหน้าที่งานของบุคคล ซึ่งเป็นที่รู้จักนอก AWS ว่า “บทบาท” IAM มอบ RBAC โดยกำหนด IAM Role พร้อมสิทธิ์อนุญาตที่สอดคล้องกับหน้าที่งาน จากนั้นคุณสามารถมอบสิทธิ์การเข้าถึงระดับบุคคลเพื่อสวมบทบาทเหล่านี้สำหรับดำเนินหน้าที่งานเฉพาะ RBAC ช่วยให้คุณตรวจสอบสิทธิ์การเข้าถึงได้โดยการดูที่แต่ละ IAM Role และสิทธิ์การอนุญาตที่แนบมาด้วย ดูข้อมูลเพิ่มเติมได้ที่การเปรียบเทียบ ABAC กับ RBAC แบบดั้งเดิม

ถาม: ฉันจะมอบสิทธิ์การเข้าถึงด้วย RBAC ได้อย่างไร
ตามแนวทางปฏิบัติที่ดีที่สุด ให้มอบสิทธิ์การเข้าถึงเฉพาะการดำเนินการบริการและทรัพยากรที่จำเป็นในการปฏิบัติงานแต่ละอย่างเท่านั้น ซึ่งเรียกว่าการมอบสิทธิ์อนุญาตเท่าที่จำเป็น เมื่อพนักงานเพิ่มทรัพยากรใหม่ คุณต้องอัปเดตนโยบายเพื่ออนุญาตการเข้าถึงทรัพยากรเหล่านั้น

ถาม: การควบคุมการเข้าถึงตามคุณลักษณะ (ABAC) คืออะไร
ABAC เป็นกลยุทธ์การอนุญาตที่กำหนดสิทธิ์อนุญาตตามแอตทริบิวต์ ใน AWS แอตทริบิวต์เหล่านี้เรียกว่าแท็ก และคุณสามารถกำหนดแท็กได้บนทรัพยากร AWS, IAM Role และในเซสชันบทบาท ABAC ช่วยให้คุณสามารถกำหนดชุดสิทธิ์อนุญาตตามค่าของแท็ก คุณสามารถมอบสิทธิ์อนุญาตแบบละเอียดแก่ทรัพยากรเฉพาะโดยกำหนดให้แท็กในบทบาทหรือเซสชันตรงกับแท็กในทรัพยากร ตัวอย่างเช่น คุณสามารถกำหนดนโยบายที่อนุญาตให้นักพัฒนาเข้าถึงทรัพยากรที่แท็กไว้ว่าเป็นตำแหน่งงาน "นักพัฒนา" ABAC มีประโยชน์ในสภาพแวดล้อมที่เติบโตอย่างรวดเร็วโดยมอบสิทธิ์อนุญาตให้กับทรัพยากรต่างๆ เมื่อสร้างด้วยแท็กเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่การควบคุมการเข้าถึงตามคุณลักษณะสำหรับ AWS

ถาม: ฉันจะมอบสิทธิ์การเข้าถึงโดยใช้ ABAC ได้อย่างไร
ในการมอบสิทธิ์การเข้าถึงโดยใช้ ABAC ก่อนอื่นให้กำหนดคีย์แท็กและค่าที่คุณต้องการใช้สำหรับการควบคุมการเข้าถึง จากนั้น ตรวจสอบให้แน่ใจว่า IAM Role ของคุณมีคีย์แท็กและค่าที่เหมาะสม หากข้อมูลประจำตัวหลายรายการใช้บทบาทนี้ คุณยังสามารถกำหนดคีย์แท็กและค่าของเซสชันได้อีกด้วย จากนั้นตรวจสอบให้แน่ใจว่าทรัพยากรของคุณมีคีย์แท็กและค่าที่เหมาะสม และคุณยังกำหนดให้ผู้ใช้สร้างทรัพยากรด้วยแท็กที่เหมาะสมและจำกัดการเข้าถึงเพื่อแก้ไขได้ หลังจากที่แท็กของคุณพร้อมใช้งานแล้ว ให้กำหนดนโยบายที่อนุญาตให้เข้าถึงการดำเนินการและประเภททรัพยากรเฉพาะ แต่เฉพาะในกรณีที่แท็กบทบาทหรือเซสชันนั้นตรงกับแท็กทรัพยากรเท่านั้น ดูบทแนะนำสอนการใช้งานโดยละเอียดที่สาธิตวิธีใช้ ABAC ใน AWS ได้ที่บทแนะนำสอนการใช้งาน IAM: กำหนดสิทธิ์อนุญาตในการเข้าถึงทรัพยากร AWS ตามแท็ก

การจำกัดสิทธิ์การเข้าถึง

ถาม: ฉันจะจำกัดการเข้าถึงโดยใช้ IAM ได้อย่างไร
AWS Identity and Access Management (IAM) จะปฏิเสธการเข้าถึงทั้งหมดตามค่าเริ่มต้น และต้องมีนโยบายที่มอบสิทธิ์การเข้าถึง ในการจัดการสิทธิ์อนุญาตในวงกว้าง คุณอาจต้องการใช้ แนวป้องกันสิทธิ์อนุญาตและจำกัดสิทธิ์เข้าถึงทั่วบัญชีของคุณ หากต้องการจำกัดการเข้าถึง ให้ระบุคำกล่าวปฏิเสธในทุกนโยบาย หากคำกล่าวปฏิเสธนำไปใช้กับการร้องขอสิทธิ์การเข้าถึง คำกล่าวปฏิเสธจะมีผลเหนือคำกล่าวอนุญาตเสมอ ตัวอย่างเช่น หากคุณอนุญาตให้เข้าถึงการดำเนินการทั้งหมดใน AWS แต่ปฏิเสธการเข้าถึง IAM การร้องขอทั้งหมดที่ส่งไปยัง IAM จะถูกปฏิเสธ คุณสามารถรวมคำกล่าวปฏิเสธในนโยบายทุกประเภท ได้แก่ นโยบายตามข้อมูลประจำตัว นโยบายตามทรัพยากร และนโยบายควบคุมการบริการ กับ AWS Organizations ดูข้อมูลเพิ่มเติมได้ที่ การควบคุมการเข้าถึงด้วย AWS Identity and Access Management

ถาม: นโยบายควบคุมการบริการ (SCP) ของ AWS Organizations คืออะไร และฉันควรใช้เมื่อใด
SCP คล้ายกับนโยบาย IAM และใช้รูปแบบเดียวกันเกือบทั้งหมด แต่ SCP จะไม่มอบสิทธิ์อนุญาต โดย SCP จะอนุญาตหรือปฏิเสธการเข้าถึงบริการของ AWS สำหรับบัญชี AWS แต่ละบัญชีที่มีบัญชีสมาชิก Organizations หรือสำหรับกลุ่มบัญชีภายในหน่วยองค์กร การดำเนินการที่ระบุจาก SCP จะส่งผลต่อผู้ใช้ IAM และ IAM Role ทั้งหมด รวมถึงผู้ใช้รูทของบัญชีสมาชิกด้วย ดูข้อมูลเพิ่มเติมได้ที่ ตรรกะการประเมินนโยบาย 
 

การวิเคราะห์สิทธิ์การเข้าถึง

ถาม: ฉันจะจัดการมอบสิทธิ์อนุญาตเท่าที่จำเป็นได้อย่างไร
เมื่อคุณเริ่มมอบสิทธิ์อนุญาต คุณสามารถเริ่มต้นด้วยการมอบสิทธิ์อนุญาตในวงกว้างก่อน ระหว่างที่สำรวจและทดลองรูปแบบต่างๆ เมื่อกรณีใช้งานของคุณขยับขยายเพิ่มขึ้น AWS แนะนำให้คุณปรับแต่งสิทธิ์อนุญาตเพื่อมอบเฉพาะสิทธิ์อนุญาตที่จำเป็นต่อการมอบสิทธิ์อนุญาตเท่าที่จำเป็น AWS มีเครื่องมือที่จะช่วยคุณปรับแต่งสิทธิ์อนุญาตของคุณได้ คุณสามารถเริ่มต้นด้วยนโยบายที่มีการจัดการของ AWS ซึ่งสร้างและจัดการโดย AWS และรวมสิทธิ์อนุญาตสำหรับกรณีใช้งานทั่วไปด้วย เมื่อคุณปรับแต่งสิทธิ์อนุญาต ให้กำหนดสิทธิ์อนุญาตเฉพาะในนโยบายที่มีการจัดการโดยลูกค้า เพื่อช่วยคุณกำหนดสิทธิ์อนุญาตเฉพาะที่คุณต้องใช้ ให้ใช้ AWS Identity and Access Management (IAM) Access Analyzer, ตรวจสอบบันทึก AWS CloudTrail และตรวจสอบข้อมูลการเข้าถึงล่าสุด นอกจากนี้คุณยังสามารถใช้ตัวจำลองนโยบาย IAM เพื่อทดสอบและแก้ปัญหานโยบายได้อีกด้วย

ถาม: IAM Access Analyzer คืออะไร
การมอบสิทธิ์อนุญาตเท่าที่จำเป็นคือวงจรต่อเนื่องในการให้สิทธิ์อนุญาตที่มีการปรับความเหมาะสมโดยละเอียดตามข้อกำหนดของคุณที่เปลี่ยนแปลงไป IAM Access Analyzer ช่วยคุณปรับปรุงการจัดการสิทธิ์อนุญาตในแต่ละขั้นตอนของวงจรนี้ การสร้างนโยบายด้วย IAM Access Analyzer จะสร้างนโยบายโดยละเอียดตามกิจกรรมการเข้าถึงที่จัดเก็บไว้ในบันทึกของคุณ ซึ่งหมายความว่า หลังจากที่คุณสร้างและเรียกใช้แอปพลิเคชัน คุณสามารถสร้างนโยบายที่มอบสิทธิ์อนุญาตเฉพาะที่จำเป็นต่อการใช้งานแอปพลิเคชันดังกล่าวเท่านั้นได้ การตรวจสอบความถูกต้องของนโยบายด้วย IAM Access Analyzer ใช้การตรวจสอบนโยบายมากกว่า 100 รายการสำหรับแนะแนวทางให้คุณในการเขียนและยืนยันนโยบายที่ปลอดภัยและใช้งานได้ คุณสามารถใช้การตรวจสอบเหล่านี้ในขณะที่สร้างนโยบายใหม่ๆ หรือเพื่อยืนยันความถูกต้องของนโยบายที่มีอยู่ก็ได้ ผลการค้นหาบัญชีสาธารณะและแบบข้ามบัญชีด้วย IAM Access Analyzer จะช่วยคุณตรวจสอบความถูกต้องและปรับแต่งสิทธิ์การเข้าถึงที่นโยบายทรัพยากรจากนอกองค์กร AWS หรือบัญชีของคุณอนุญาต ดูข้อมูลเพิ่มเติมได้ที่ การใช้งาน IAM Access Analyzer

ถาม: ฉันจะลบสิทธิ์อนุญาตที่ไม่ได้ใช้อย่างไร
คุณอาจมีผู้ใช้ บทบาท และสิทธิ์อนุญาตของ IAM ที่คุณไม่ต้องใช้อีกต่อไปในบัญชี AWS ของคุณ เราขอแนะนำให้คุณลบออกโดยมีเป้าหมายเพื่อมอบสิทธิ์อนุญาตเท่าที่จำเป็น สำหรับผู้ใช้ IAM คุณสามารถตรวจสอบข้อมูลรหัสผ่านและ Access Key ที่ใช้ล่าสุดได้ สำหรับบทบาท คุณสามารถตรวจสอบข้อมูลบทบาทที่ใช้ล่าสุดได้ ข้อมูลนี้มีอยู่ใน IAM Console, API และ SDK ข้อมูลที่ใช้ล่าสุดช่วยให้คุณระบุผู้ใช้และบทบาทที่ไม่ได้ใช้งานอีกต่อไปและสามารถลบออกได้อย่างปลอดภัย นอกจากนี้คุณยังสามารถปรับแต่งสิทธิ์อนุญาตได้โดยการตรวจสอบบริการและข้อมูลที่เข้าถึงล่าสุดเพื่อระบุสิทธิ์อนุญาตที่ไม่ได้ใช้ ดูข้อมูลเพิ่มเติมได้ที่การปรับแต่งสิทธิ์อนุญาตใน AWS โดยใช้ข้อมูลที่เข้าถึงล่าสุด

ถาม: ตัวจำลองนโยบาย IAM คืออะไร และฉันควรใช้เมื่อใด
ตัวจำลองนโยบาย IAM จะประเมินนโยบายที่คุณเลือกและกำหนดสิทธิ์อนุญาตที่มีผลใช้งานสำหรับการดำเนินการแต่ละรายการที่คุณระบุ ใช้ตัวจำลองนโยบายเพื่อทดสอบและแก้ไขปัญหานโยบายตามข้อมูลประจำตัวและตามทรัพยากร, ขอบเขตสิทธิ์อนุญาตของ IAM และ SCP ดูข้อมูลเพิ่มเติมได้ที่การทดสอบนโยบาย IAM ด้วยตัวจำลองนโยบาย IAM

เรียนรู้วิธีเริ่มต้นใช้งาน IAM

ไปที่หน้าเริ่มต้นใช้งาน
พร้อมสร้างหรือยัง
เริ่มต้นใช้งาน IAM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา